janvier - décembre 2022 - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

janvier - décembre 2022

En 2022, AWS Control Tower a publié les mises à jour suivantes :

Opérations de compte simultanées

16 décembre 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge les actions simultanées dans Account Factory. Vous pouvez créer, mettre à jour ou inscrire jusqu'à cinq (5) comptes à la fois. Soumettez jusqu'à cinq actions à la suite et consultez l'état d'avancement de chaque demande, tandis que vos comptes finissent de s'accumuler en arrière-plan. Par exemple, vous ne devez plus attendre la fin de chaque processus pour mettre à jour un autre compte ou avant de réenregistrer une unité organisationnelle (UO) complète.

Personnalisation de Account Factory (AFC)

28 novembre 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

La personnalisation des comptes en usine vous permet de personnaliser les comptes nouveaux et existants depuis la console AWS Control Tower. Ces nouvelles fonctionnalités de personnalisation vous permettent de définir des plans de compte, qui sont des AWS CloudFormation modèles contenus dans un produit Service Catalog spécialisé. Les plans fournissent des ressources et des configurations entièrement personnalisées. Vous pouvez également choisir d'utiliser des plans prédéfinis, conçus et gérés par des AWS partenaires, qui vous aident à personnaliser les comptes pour des cas d'utilisation spécifiques.

Auparavant, AWS Control Tower Account Factory ne prenait pas en charge la personnalisation des comptes dans la console. Avec cette mise à jour de Account Factory, vous pouvez prédéfinir les exigences relatives aux comptes et les mettre en œuvre dans le cadre d'un flux de travail bien défini. Vous pouvez appliquer des plans pour créer de nouveaux comptes, inscrire d'autres AWS comptes dans AWS Control Tower et mettre à jour les comptes AWS Control Tower existants.

Lorsque vous approvisionnez, enregistrez ou mettez à jour un compte dans Account Factory, vous sélectionnez le plan à déployer. Les ressources spécifiées dans le plan sont mises à disposition sur votre compte. Lorsque la création de votre compte est terminée, toutes les configurations personnalisées peuvent être utilisées immédiatement.

Pour commencer à personnaliser les comptes, vous pouvez définir les ressources correspondant à votre cas d'utilisation prévu dans un produit Service Catalog. Vous pouvez également sélectionner des solutions gérées par des partenaires dans la bibliothèque AWS Getting Started. Pour plus d’informations, consultez Personnalisez les comptes avec Account Factory Customization (AFC).

Des contrôles complets facilitent le provisionnement et la gestion des AWS ressources

28 novembre 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la gestion complète des contrôles, y compris de nouveaux contrôles proactifs optionnels, mis en œuvre via AWS CloudFormation des hooks. Ces contrôles sont qualifiés de proactifs car ils vérifient vos ressources, avant leur déploiement, afin de déterminer si les nouvelles ressources seront conformes aux contrôles activés dans votre environnement.

Plus de 130 nouveaux contrôles proactifs vous aident à atteindre des objectifs politiques spécifiques pour votre environnement AWS Control Tower, à satisfaire aux exigences des cadres de conformité aux normes du secteur et à régir les interactions avec AWS Control Tower dans plus de vingt autres AWS services.

La bibliothèque de contrôles AWS Control Tower classe ces contrôles en fonction des AWS services et ressources associés. Pour plus de détails, consultez la section Contrôles proactifs.

Dans cette version, AWS Control Tower est également intégrée AWS Security Hub, au moyen de la nouvelle norme Security Hub gérée par les services : AWS Control Tower, qui prend en charge la norme AWS Foundational Security Best Practices (FSBP). Vous pouvez consulter plus de 160 contrôles Security Hub ainsi que les contrôles AWS Control Tower dans la console, et vous pouvez obtenir un score de sécurité Security Hub pour votre environnement AWS Control Tower. Pour plus d'informations, consultez la section Contrôles du Security Hub.

État de conformité consultable pour toutes les AWS Config règles

18 novembre 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower affiche désormais l'état de conformité de toutes les AWS Config règles déployées dans les unités organisationnelles enregistrées auprès d'AWS Control Tower. Vous pouvez consulter l'état de conformité de toutes les AWS Config règles qui affectent vos comptes dans AWS Control Tower, qu'ils soient inscrits ou non, sans avoir à naviguer en dehors de la console AWS Control Tower. Les clients peuvent choisir de configurer des règles de configuration, appelées contrôles de détection, dans AWS Control Tower, ou de les configurer directement via le AWS Config service. Les règles déployées par AWS Config sont affichées, ainsi que les règles déployées par AWS Control Tower.

Auparavant, AWS Config les règles déployées via le AWS Config service n'étaient pas visibles dans la console AWS Control Tower. Les clients devaient accéder au AWS Config service pour identifier les AWS Config règles non conformes. Vous pouvez désormais identifier toute AWS Config règle non conforme dans la console AWS Control Tower. Pour connaître l'état de conformité de toutes vos règles Config, accédez à la page des détails du compte dans la console AWS Control Tower. Vous verrez une liste indiquant l'état de conformité des contrôles gérés par AWS Control Tower et les règles Config déployées en dehors d'AWS Control Tower.

API pour les contrôles et une nouvelle AWS CloudFormation ressource

1er septembre 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la gestion programmatique des contrôles, également appelés garde-fous, par le biais d'un ensemble d'appels d'API. Une nouvelle AWS CloudFormation ressource prend en charge les fonctionnalités de l'API pour les contrôles. Pour de plus amples informations, veuillez consulter Automatisez les tâches dans AWS Control Tower et Création de AWS Control Tower ressources avec AWS CloudFormation.

Ces API vous permettent d'activer, de désactiver et de consulter l'état de l'application des contrôles dans la bibliothèque AWS Control Tower. Les API incluent la prise en charge de AWS CloudFormation, afin que vous puissiez gérer les AWS ressources en tant que infrastructure-as-code (iAc). AWS Control Tower fournit des contrôles préventifs et de détection facultatifs qui expriment vos intentions politiques concernant l'ensemble d'une unité organisationnelle (UO) et chaque AWS compte au sein de l'UO. Ces règles restent en vigueur lorsque vous créez de nouveaux comptes ou modifiez des comptes existants.

API incluses dans cette version
  • EnableControl— Cet appel d'API active un contrôle. Il lance une opération asynchrone qui crée AWS des ressources sur l'unité organisationnelle spécifiée et les comptes qu'elle contient.

  • DisableControl— Cet appel d'API désactive un contrôle. Il lance une opération asynchrone qui supprime les AWS ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.

  • GetControlOperation— Renvoie le statut d'un particulier EnableControlou d'une DisableControlopération.

  • ListEnabledControls— Répertorie les contrôles activés par AWS Control Tower sur l'unité organisationnelle spécifiée et les comptes qu'elle contient.

Pour consulter la liste des noms de contrôle pour les contrôles facultatifs, consultez la section Identifiants de ressources pour les API et les contrôles dans le guide de l'utilisateur d'AWS Control Tower.

CfCT prend en charge la suppression d'ensembles de piles

26 août 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

Les personnalisations pour AWS Control Tower (CfCT) prennent désormais en charge la suppression d'ensembles de piles, en définissant un paramètre dans le manifest.yaml fichier. Pour plus d’informations, consultez Suppression d'un ensemble de piles.

Important

Lorsque vous définissez initialement la valeur de enable_stack_set_deletion totrue, la prochaine fois que vous invoquerez CfCT, TOUTES les ressources qui commencent par le préfixeCustomControlTower-, auxquelles est associée la balise Key:AWS_Solutions, Value: CustomControlTowerStackSet clé et qui ne sont pas déclarées dans le fichier manifeste sont préparées pour être supprimées.

Conservation personnalisée des journaux

15 août 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower. Pour plus d'informations, voirMettre à jour votre zone de destination)

AWS Control Tower permet désormais de personnaliser la politique de rétention pour les compartiments Amazon S3 qui stockent vos CloudTrail journaux AWS Control Tower. Vous pouvez personnaliser votre politique de conservation des journaux Amazon S3, par tranches de jours ou d'années, jusqu'à un maximum de 15 ans.

Si vous choisissez de ne pas personnaliser la conservation des journaux, les paramètres par défaut sont de 1 an pour la journalisation standard du compte et de 10 ans pour la journalisation des accès.

Cette fonctionnalité est disponible pour les clients existants via AWS Control Tower lorsque vous mettez à jour ou réparez votre zone d'atterrissage, et pour les nouveaux clients via le processus de configuration d'AWS Control Tower.

Réparation de la dérive des rôles disponible

11 août 2022

(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la réparation de la dérive des rôles. Vous pouvez rétablir un rôle requis sans avoir à réparer complètement votre zone d'atterrissage. Si ce type de réparation de dérive est nécessaire, la page d'erreur de la console indique les étapes à suivre pour restaurer le rôle, afin que votre zone d'atterrissage soit à nouveau disponible.

Zone de landing zone d'AWS Control Tower, version 3.0

29 juillet 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 3.0. Pour plus d'informations, voirMettre à jour votre zone de destination)

La version 3.0 de la zone de landing zone d'AWS Control Tower inclut les mises à jour suivantes :

  • La possibilité de choisir des AWS CloudTrail parcours au niveau de l'organisation ou de se désinscrire des CloudTrail sentiers gérés par AWS Control Tower.

  • Deux nouvelles commandes de détection pour déterminer si des activités AWS CloudTrail de journalisation sont enregistrées sur vos comptes.

  • La possibilité d'agréger AWS Config des informations sur les ressources mondiales de votre région d'origine uniquement.

  • Une mise à jour de la Région refuse le contrôle.

  • Une mise à jour de la politique gérée, AWSControlTowerServiceRolePolicy.

  • Nous ne créons plus le rôle IAM ni aws-controltower-CloudWatchLogsRole le groupe de CloudWatch log aws-controltower/CloudTrailLogs dans chaque compte inscrit. Auparavant, nous les avions créés dans chaque compte pour le suivi de son compte. Dans le cas des parcours d'organisation, nous n'en créons qu'un dans le compte de gestion.

Les sections suivantes fournissent plus de détails sur chaque nouvelle fonctionnalité.

CloudTrail Sentiers au niveau de l'organisation dans AWS Control Tower

Avec la version 3.0 de landing zone, AWS Control Tower prend désormais en charge les trails au niveau de l'organisation AWS CloudTrail .

Lorsque vous mettez à jour votre zone d'atterrissage AWS Control Tower vers la version 3.0, vous avez la possibilité de sélectionner les AWS CloudTrail sentiers au niveau de l'organisation comme préférence de journalisation, ou de vous désinscrire des CloudTrail sentiers gérés par AWS Control Tower. Lorsque vous passez à la version 3.0, AWS Control Tower supprime les traces existantes au niveau du compte pour les comptes inscrits après une période d'attente de 24 heures. AWS Control Tower ne supprime pas les traces au niveau du compte pour les comptes non inscrits. Dans le cas peu probable où la mise à jour de votre zone d'atterrissage échouerait, mais que l'échec se produirait alors qu'AWS Control Tower a déjà créé le journal au niveau de l'organisation, vous risquez de devoir payer des frais supplémentaires pour les journaux au niveau de l'organisation et au niveau du compte, jusqu'à ce que votre opération de mise à jour soit terminée avec succès.

À compter de la landing zone 3.0, AWS Control Tower ne prend plus en charge les traces de gestion au niveau du compte. AWS AWS Control Tower crée plutôt un journal au niveau de l'organisation, actif ou inactif, en fonction de votre sélection.

Note

Après la mise à jour vers la version 3.0 ou ultérieure, vous n'avez pas la possibilité de continuer avec les CloudTrail traces au niveau du compte gérées par AWS Control Tower.

Aucune donnée de journalisation n'est perdue dans les journaux agrégés de votre compte, car les journaux restent dans le compartiment Amazon S3 existant dans lequel ils sont stockés. Seuls les sentiers sont supprimés, pas les journaux existants. Si vous sélectionnez l'option permettant d'ajouter des traces au niveau de l'organisation, AWS Control Tower ouvre un nouveau chemin vers un nouveau dossier dans votre compartiment Amazon S3 et continue d'envoyer les informations de journalisation à cet emplacement. Si vous choisissez de ne pas participer aux sentiers gérés par AWS Control Tower, vos journaux existants restent inchangés dans le compartiment.

Conventions de dénomination des chemins pour le stockage des journaux
  • Les journaux de suivi des comptes sont stockés avec un chemin de la forme suivante : /org id/AWSLogs/…

  • Les journaux de suivi de l'organisation sont stockés avec un chemin de la forme suivante : /org id/AWSLogs/org id/…

Le chemin créé par AWS Control Tower pour les CloudTrail sentiers au niveau de votre organisation est différent du chemin par défaut pour un journal créé manuellement au niveau de l'organisation, qui aurait la forme suivante :

  • /AWSLogs/org id/…

Pour plus d'informations sur la dénomination des CloudTrail chemins, consultez la section Trouver vos fichiers CloudTrail journaux.

Astuce

Si vous envisagez de créer et de gérer vos propres traces au niveau de votre compte, nous vous recommandons de créer les nouvelles pistes avant de terminer la mise à jour de la version 3.0 de la zone de landing zone d'AWS Control Tower, afin de commencer à vous connecter immédiatement.

À tout moment, vous pouvez choisir de créer de nouveaux CloudTrail parcours au niveau du compte ou de l'organisation et de les gérer vous-même. La possibilité de choisir des CloudTrail pistes au niveau de l'organisation gérées par AWS Control Tower est disponible lors de toute mise à jour de la zone de landing zone vers la version 3.0 ou ultérieure. Vous pouvez accepter ou non les parcours organisés au niveau de l'organisation chaque fois que vous mettez à jour votre zone de landing zone.

Si vos journaux sont gérés par un service tiers, assurez-vous de donner le nouveau nom de chemin d'accès à votre service.

Note

Pour les zones d'atterrissage de la version 3.0 ou ultérieure, les AWS CloudTrail traces au niveau du compte ne sont pas prises en charge par AWS Control Tower. Vous pouvez créer et gérer vos propres traces au niveau de votre compte à tout moment, ou vous pouvez opter pour les pistes au niveau de l'organisation gérées par AWS Control Tower.

Enregistrer AWS Config les ressources de la région d'origine uniquement

Dans la version 3.0 de landing zone, AWS Control Tower a mis à jour la configuration de base AWS Config afin d'enregistrer les ressources globales dans la région d'origine uniquement. Après la mise à jour vers la version 3.0, l'enregistrement des ressources pour les ressources globales est activé uniquement dans votre région d'origine.

Cette configuration est considérée comme une bonne pratique. Il est recommandé par AWS Security Hub et AWS Config permet de réaliser des économies en réduisant le nombre d'éléments de configuration créés lors de la création, de la modification ou de la suppression de ressources globales. Auparavant, chaque fois qu'une ressource globale était créée, mise à jour ou supprimée, que ce soit par un client ou par un AWS service, un élément de configuration était créé pour chaque élément dans chaque région gouvernée.

Deux nouvelles commandes de détection pour la AWS CloudTrail journalisation

Dans le cadre de la modification des AWS CloudTrail pistes au niveau de l'organisation, AWS Control Tower introduit deux nouvelles commandes de détection qui vérifient si elles CloudTrail sont activées. Le premier contrôle comporte des instructions obligatoires et il est activé sur l'unité d'organisation de sécurité lors de la configuration ou des mises à jour de la zone d'atterrissage de la version 3.0 et des versions ultérieures. Le second contrôle fait l'objet de directives fortement recommandées et est éventuellement appliqué à toute unité d'organisation autre que l'unité d'organisation de sécurité, pour laquelle la protection de contrôle obligatoire est déjà appliquée.

Contrôle obligatoire : détecter si les comptes partagés relevant de l'unité organisationnelle de sécurité sont activés AWS CloudTrail ou si CloudTrail Lake est activé

Contrôle fortement recommandé : détectez si un compte est activé AWS CloudTrail ou si CloudTrail Lake est activé

Pour plus d'informations sur les nouveaux contrôles, consultez la bibliothèque de contrôles AWS Control Tower.

Une mise à jour du contrôle des refus par région

Nous avons mis à jour la NotActionliste dans la section Region Deny Control pour inclure les actions de certains services supplémentaires, listés ci-dessous :

“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,

Vidéo de procédure

Cette vidéo (3:07) explique comment mettre à jour votre zone d'atterrissage AWS Control Tower existante vers la version 3. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

La page Organisation combine les vues des unités d'organisation et des comptes

18 juillet 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower)

La nouvelle page Organisation d'AWS Control Tower présente une vue hiérarchique de toutes les unités organisationnelles (UO) et de tous les comptes. Il combine les informations des pages UO et Comptes, qui existaient auparavant.

Sur la nouvelle page, vous pouvez voir les relations entre les UO parents et leurs UO et comptes imbriqués. Vous pouvez agir sur les groupements de ressources. Vous pouvez configurer l'affichage des pages. Par exemple, vous pouvez développer ou réduire la vue hiérarchique, filtrer la vue pour afficher uniquement les comptes ou les unités d'organisation, choisir de n'afficher que vos comptes inscrits et vos unités d'organisation enregistrées, ou vous pouvez afficher des groupes de ressources connexes. Il est plus facile de s'assurer que l'ensemble de votre organisation est correctement mis à jour.

Inscription et mise à jour simplifiées pour les comptes de membres individuels

31 mai 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower)

AWS Control Tower vous offre désormais une capacité améliorée pour mettre à jour et inscrire les comptes des membres individuellement. Chaque compte indique la date à laquelle une mise à jour est disponible, ce qui vous permet de vous assurer plus facilement que vos comptes membres incluent la dernière configuration. Vous pouvez mettre à jour votre zone de landing zone, remédier à la dérive de votre compte ou inscrire un compte dans une unité d'organisation enregistrée, en quelques étapes simples.

Lorsque vous mettez à jour un compte, il n'est pas nécessaire d'inclure l'unité organisationnelle (UO) complète du compte dans chaque action de mise à jour. Par conséquent, le temps nécessaire pour mettre à jour un compte individuel est considérablement réduit.

Vous pouvez inscrire des comptes dans les unités d'organisation AWS Control Tower avec l'aide supplémentaire de la console AWS Control Tower. Les comptes existants que vous inscrivez dans AWS Control Tower doivent toujours répondre aux conditions requises, et vous devez ajouter le AWSControlTowerExecution rôle. Vous pouvez ensuite choisir n'importe quelle unité d'organisation enregistrée et y inscrire le compte en cliquant sur le bouton S'inscrire.

Nous avons séparé la fonctionnalité d'inscription d'un compte du flux de travail de création de compte dans Account Factory, afin de mieux distinguer ces processus similaires et d'éviter les erreurs de configuration lors de la saisie des informations de compte.

AFT prend en charge la personnalisation automatique des comptes AWS Control Tower partagés

27 mai 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower)

Account Factory for Terraform (AFT) peut désormais personnaliser et mettre à jour par programmation tous vos comptes gérés par AWS Control Tower, y compris le compte de gestion, le compte d'audit et le compte d'archivage des journaux, ainsi que vos comptes inscrits. Vous pouvez centraliser la personnalisation de votre compte et la gestion des mises à jour, tout en protégeant la sécurité des configurations de votre compte, car vous définissez le rôle qui exécute le travail.

Le AWSAFTExecutionrôle existant déploie désormais les personnalisations dans tous les comptes. Vous pouvez configurer des autorisations IAM avec des limites qui limitent l'accès au AWSAFTExecutionrôle en fonction de vos exigences commerciales et de sécurité. Vous pouvez également déléguer par programmation les autorisations de personnalisation approuvées dans ce rôle, pour les utilisateurs de confiance. En tant que bonne pratique, nous vous recommandons de limiter les autorisations à celles qui sont nécessaires pour déployer les personnalisations requises.

AFT crée désormais le nouveau AWSAFTServicerôle pour déployer les ressources AFT dans tous les comptes gérés, y compris les comptes partagés et le compte de gestion. Les ressources étaient auparavant déployées par le AWSAFTExecutionrôle.

Les comptes partagés et de gestion d'AWS Control Tower ne sont pas approvisionnés via Account Factory, ils ne contiennent donc pas de produits provisionnés correspondants. AWS Service Catalog Par conséquent, vous n'êtes pas en mesure de mettre à jour les comptes partagés et de gestion dans Service Catalog.

Opérations simultanées pour tous les contrôles optionnels

18 mai 2022

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower)

AWS Control Tower prend désormais en charge les opérations simultanées pour les contrôles préventifs, ainsi que pour les contrôles de détection.

Grâce à cette nouvelle fonctionnalité, toute commande optionnelle peut désormais être appliquée ou supprimée simultanément, améliorant ainsi la facilité d'utilisation et les performances de toutes les commandes optionnelles. Vous pouvez activer plusieurs contrôles optionnels sans attendre la fin des opérations de contrôle individuelles. Les seules périodes restreintes sont celles où AWS Control Tower est en train de configurer sa zone de landing zone ou lors de l'extension de la gouvernance à une nouvelle organisation.

Fonctionnalités prises en charge pour les contrôles préventifs :
  • Appliquez et supprimez différents contrôles préventifs sur la même unité d'organisation.

  • Appliquez et supprimez simultanément différents contrôles préventifs sur différentes unités d'organisation.

  • Appliquez et supprimez le même contrôle préventif sur plusieurs unités d'organisation simultanément.

  • Vous pouvez appliquer et supprimer simultanément tous les contrôles préventifs et de détection.

Vous pouvez découvrir ces améliorations de la simultanéité des contrôles dans toutes les versions publiées d'AWS Control Tower.

Lorsque vous appliquez des contrôles préventifs à des unités d'organisation imbriquées, les contrôles préventifs affectent tous les comptes et unités d'organisation imbriqués sous l'unité d'organisation cible, même si ces comptes et unités d'organisation ne sont pas enregistrés auprès d'AWS Control Tower. Les contrôles préventifs sont mis en œuvre à l'aide des politiques de contrôle des services (SCP), qui en font partie AWS Organizations. Les contrôles Detective sont mis en œuvre à l'aide de AWS Config règles. Les garde-fous restent en vigueur lorsque vous créez de nouveaux comptes ou que vous apportez des modifications à vos comptes existants, et AWS Control Tower fournit un rapport récapitulatif indiquant dans quelle mesure chaque compte est conforme aux politiques que vous avez activées. Pour obtenir la liste complète des contrôles disponibles, consultez la bibliothèque de contrôles AWS Control Tower.

Comptes de sécurité et de journalisation existants

16 mai 2022

(Disponible lors de la configuration initiale.)

AWS Control Tower vous permet désormais de spécifier un AWS compte existant en tant que compte de sécurité ou de journalisation AWS Control Tower, lors du processus de configuration initiale de la zone de landing zone. Grâce à cette option, AWS Control Tower n'a plus besoin de créer de nouveaux comptes partagés. Le compte de sécurité, appelé compte d'audit par défaut, est un compte restreint qui permet à vos équipes de sécurité et de conformité d'accéder à tous les comptes de votre zone de landing zone. Le compte de journalisation, appelé compte Log Archive par défaut, fonctionne comme un référentiel. Il stocke les journaux des activités de l'API et des configurations de ressources de tous les comptes de votre zone de landing zone.

En intégrant vos comptes de sécurité et de journalisation existants, il est plus facile d'étendre la gouvernance d'AWS Control Tower à vos organisations existantes ou de passer à AWS Control Tower depuis une autre zone de landing zone. L'option vous permettant d'utiliser les comptes existants s'affiche lors de la configuration initiale de la zone d'atterrissage. Il inclut des contrôles pendant le processus de configuration, qui garantissent le succès du déploiement. AWS Control Tower implémente les rôles et les contrôles nécessaires sur vos comptes existants. Il ne supprime ni ne fusionne aucune ressource ou donnée existante dans ces comptes.

Limitation : si vous envisagez d'intégrer AWS des comptes existants dans AWS Control Tower en tant que comptes d'audit et d'archivage des journaux, et si ces comptes disposent de AWS Config ressources existantes, vous devez supprimer les AWS Config ressources existantes avant de pouvoir les inscrire dans AWS Control Tower.

Zone de landing zone d'AWS Control Tower, version 2.9

22 avril 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 2.9. Pour plus d'informations, voirMettre à jour votre zone de destination)

La version 2.9 d'AWS Control Tower landing zone met à jour le redirecteur de notifications Lambda pour qu'il utilise le runtime Python version 3.9. Cette mise à jour corrige la dépréciation de la version 3.6 de Python, prévue pour juillet 2022. Pour les informations les plus récentes, consultez la page d'obsolescence de Python.

Zone de landing zone d'AWS Control Tower, version 2.8

10 février 2022

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 2.8. Pour plus d'informations, voirMettre à jour votre zone de destination)

La version 2.8 d'AWS Control Tower landing zone ajoute des fonctionnalités conformes aux récentes mises à jour des meilleures pratiques de sécuritéAWS fondamentales.

Dans cette version :
  • La journalisation des accès est configurée pour le compartiment de journaux d'accès du compte Log Archive, afin de suivre l'accès au compartiment de journaux d'accès S3 existant.

  • Support pour la politique de cycle de vie est ajouté. Le journal d'accès du compartiment de journaux d'accès S3 existant est défini sur une durée de conservation par défaut de 10 ans.

  • En outre, cette version met à jour AWS Control Tower afin d'utiliser le rôle AWS Service Linked (SLR) fourni par AWS Config, dans tous les comptes gérés (à l'exception du compte de gestion), afin que vous puissiez configurer et gérer les règles de configuration conformément aux AWS Config meilleures pratiques. Les clients qui ne procèdent pas à la mise à niveau continueront à utiliser leur rôle existant.

  • Cette version rationalise le processus de configuration d'AWS Control Tower KMS pour le chiffrement des données de configuration et améliore les messages d'état associés dans. CloudTrail

  • La version inclut une mise à jour du contrôle de refus des régions, afin de permettre à la route53-application-recovery fonctionnalité d'entrer dansus-west-2.

  • Mise à jour : le 15 février 2022, nous avons supprimé la file d'attente des lettres mortes pour les fonctions AWS Lambda.

Informations supplémentaires :
  • Si vous mettez hors service votre zone de landing zone, AWS Control Tower ne supprime pas le rôle lié au AWS Config service.

  • Si vous désapprovisionnez un compte Account Factory, AWS Control Tower ne supprime pas le rôle lié au AWS Config service.

Pour mettre à jour votre zone d'atterrissage vers la version 2.8, accédez à la page des paramètres de la zone d'atterrissage, sélectionnez la version 2.8, puis choisissez Mettre à jour. Après avoir mis à jour votre zone de landing zone, vous devez mettre à jour tous les comptes régis par AWS Control Tower, comme indiqué dansGestion des mises à jour de configuration dans AWS Control Tower.